Unsere Leidenschaft für Ihr Recht

.

Spezialist in IT-Recht, Internet-, AGB- und Vertragsrecht, Gleichstellungs- und Barrierefreiheitsrecht, sowie Datenschutzrecht (DSGVO/GDPR)

Spezialist für Förderberatung und -antragsabwicklung www.foerdertopf.at

Als Insolvenzverwalter Abwicklung von Insolvenzen, Sanierungen, Restrukturierungen, Geschäftsauflösungen

Vertretung in gerichtlichen Zivilprozessen (Schadenersatz, Produkthaftung, Arzthaftung, Vertragsstreitigkeiten, Verkehrsunfälle etc), dabei insbesondere Spezialist für die

Vertretung ausländischer Unternehmen vor österreichischen Gerichten.

Hinweis: Sichern Sie sich entsprechende Fördergelder für Ihr Unternehmen via www.foerdertopf.at

Dr. Zeilinger und seine Mitarbeiter helfen Ihnen mit diversen Experten und Projektteams je nach Bedarf mit Ihrer Umsetzung der DSGVO; als Vernetzer und Wissensmanager organisieren wir Wissen und modulieren, leiten & kontrollieren Ihre dazugehörigen Prozesse.

Technisches Verständnis bietet Dr. Zeilinger seinen Kunden und Mandanten durch seine früheren, langjährigen Tätigkeiten als Elektroanlagentechniker, Webdesigner und Programmierer; seine über 20 Jahre reichenden Erfahrungen als selbständiger Unternehmer in verschiedenen Branchen und Ländern bieten eine gute Grundlage für erfolgreiches Prozessmanagement.

Als Software für das idR erforderliche Verarbeitungsverzeichnis empfiehlt Dr. Zeilinger zur Kosten-/Nutzenmaximierung www.intervalid.com, wobei er Mandanten auch gerne mit einer kurzen Einschulung und rechtlichen Betreuung begleitet.

Besuchen Sie auch Dr. Zeilinger’s YouTube-Kanal mit vielen kostenfreien Videos zur DSGVO sowie seine Facebook Page (offizielle Folgen/Like Buttons verwenden wir aus datenschutzrechtlichen Gründen nicht).

Als Lektüre zur DSGVO-Compliance empfiehlt Dr. Zeilinger die aktuelle 2. Auflage des Datenschutz-Audit von Dr. M. Pachinger / G. Beham, MSc / P. Kleebauer, MSc / T. Jost.

Wie ist ein Cookie-Banner zu gestalten?

Aus einem aktuellen Bericht der Cookie-Banner-Taskforce der EU ergeben sich folgende Anforderungen für die Erstellung von Cookie-Bannern:

  • Auf der ersten Ebene des Banners ist eine Ablehnungsoption anzubieten, anstatt in einer Unterebene zu verstecken.
  • Der Websitebesucher muss aktiv zustimmen, anstatt vorab angekreuzte Kästchen vorzufinden.
  • Das Verweigern der Zustimmung muss auch anders als bloß über winzige Links in einem anderen Text oder Links außerhalb des Cookie-Banners möglich sein.
  • Man hat die Zustimmung einzuholen anstatt die Geltendmachung eines berechtigten Interesses für die Nutzung nicht wesentlicher Cookies zu behaupten.
  • Der Verantwortliche hat eine dauerhafte Möglichkeit zum Widerruf der Einwilligung anzubieten.

Den gesamten Bericht finden Sie auf: https://edpb.europa.eu/system/files/2023-01/edpb_20230118_report_cookie_banner_taskforce_en.pdf

Während des Surfens im Internet entdeckt man eine Vielzahl unterschiedlicher Cookie-Banner. Diese informieren über die auf der Seite eingesetzten Cookies und lassen eine Auswahl darüber zu, welche Cookies aktiviert werden sollen. Diese Auswahl soll eine wirksame Einwilligung zum Verarbeitungsvorgang personenbezogener Daten iSd DSGVO darstellen, die unter gewissen Umständen erforderlich sein kann, falls personenbezogene Daten verarbeitet werden. Es existieren unzählige verschiedene Meinungen darüber, wie diese Banner zu gestalten sind, um die Anforderungen einer wirksamen Einwilligung zur Datenverarbeitung zu erfüllen.

Um zu prüfen, ob ein Teil der in der Praxis genutzten Cookie-Banner die Anforderungen einer wirksamen Einwilligung iSd DSGVO als auch die Anforderungen der als ePrivacy-Richtline bekannten RL 2002/58/EG erfüllen, wurde die „Cookie Banner Taskforce“ des European Data Protection Bords damit beauftragt, diese Fragen zu prüfen. Diese Taskforce veröffentlichte einen Entwurf eines Berichts über die bisherige Arbeit.

In diesem Bericht wurde auf einige häufig angetroffene Praktiken eingegangen, die entdeckt wurden.

So wurde die Praktik kritisiert, wonach Cookie-Banner zumindest in der ersten Ebene über keine Schaltfläche verfügen würden, mit deren Hilfe man das Setzen von Cookies verhindern konnte. Ebenso wurde das Vorgehen beanstandet, wonach Checkboxen für die Auswahl von Cookies bereits vorausgewählt waren. Beide Praktiken führten dazu, dass Website-Besucher hierdurch keine positive, aktive, informierte und freie Handlung setzten, um in die Setzung von Cookies einzuwilligen. Somit lag keine wirksame Einwilligung vor und war damit die gesamte Datenverarbeitung rechtswidrig.

Ebenso wurde aus diesem Grund die Praktik beanstandet, wonach man nur über einen Link anstatt eines Buttons zu setzende Cookies abwählen konnte. Dies geschah entweder über einen direkten Link oder auf einer verlinkten Seite. Besonders hervorgehoben wurde hierbei, dass es sich um Links handelte, die im Text eines Cookie-Banners eingebunden und so designed waren, dass sie nicht die Aufmerksamkeit eines durchschnittlichen Nutzers auf sich zogen.

Differenzierter wurde die Praktik irreführender Button-Farben und Button-Kontraste beurteilt. Dies musste von Fall zu Fall beurteilt werden; es konnten hierfür keine generell verbindlichen Regeln formuliert werden. Lediglich ein Vorgehen wurde deutlich kritisiert: Dabei handelte es sich um Banner, über die man entweder in das Setzen von Cookies einwilligen konnte oder alternativ andere Buttons angeboten wurden. Die Farben der Buttons der Alternativen wiesen jedoch einen so geringen Kontrast zu den Farben ihrer Beschriftungen auf, dass sie unlesbar waren.

Der Bericht ging auch auf die Problematik ein, wonach Cookies als essenziell klassifiziert wurden, obwohl es sich um keine essenziellen Cookies handelte.

Abschließend wurde erwähnt, dass viele Websites keine Möglichkeit anbieten würden, eine einmal über den Cookie-Banner erteilte Einwilligung zu widerrufen. Selbst von jenen Websitebetreibern, die eine derartige Möglichkeit anbieten würden, wurde dies nicht derart umgesetzt, dass diese Widerrufsmöglichkeit einfach zugänglich war.

Zusammengefasst liegt in allen diesen Fällen keine wirksame Einwilligung und somit keine ausreichende Rechtsgrundlage für die Verarbeitung von Daten vor. Sofern personenbezogene Daten verarbeitet werden, ist dies daher rechtswidrig. Gerne beraten wir Sie individuell hierzu.

Am 28. Mai 2020 entschied der BGH zu Cookie-Bannern

Die bisherige deutsche Rechtslage führte zu „Cookie-Bannern“, bei denen Nutzer keine echte Wahlmöglichkeit hatten, sondern nur auf „Ok“ klicken konnten, um das nervige Banner aus dem Weg zu räumen.

1. Unbedingt erforderliche Cookies brauchen keine aktive Einwilligung

Zuerst das „Erfreuliche“: Wenn Cookies unbedingt erforderlich sind, sind Cookie-Banner, die nur weggeklickt werden können, rechtmäßig.

Unbedingt erforderlich können sein technisch notwendige und andere Cookies, die im Interesse des Nutzers sind, wie insb. Session-Cookies, die für einen Online-Warenkorb oder die Spracheinstellungen der Webseite verwendet werden bzw. die Seite ohne sie nicht betrieben werden kann. Es bleibt aber von den Datenschutzbehörden und Gerichten zu klären, wann Cookies unbedingt erforderlich sind und wann nicht.

2. Alle nicht unbedingt erforderlichen Cookies erfordern jetzt eine aktive Einwilligung

Andere Cookies werden aber genutzt, um pseudonymisierte Informationen über das Nutzerverhalten zu erlangen und personalisierte Werbeanzeigen zu platzieren, wie insb beim Tracking, zB Google Analytics.

Derartige Cookies sind rechtswidrig, wenn Cookie-Banner nur „weggeklickt“ werden können.

Solche Cookies für Werbe- bzw. Marketingzwecke benötigen jetzt eine aktive Einwilligung. Nutzer müssen die Möglichkeit haben, aktiv in nicht erforderliche Werbe- und Tracking Cookies im Sinne eines Opt-in einzuwilligen. Einwilligungskästchen müssen vom Nutzer aktiv angekreuzt werden; die bloße Bestätigung vorangekreuzter Felder genügt nicht.

Für die Anwendbarkeit der ePrivacy-Richtlinie ist es irrelevant, ob Cookies einen Personenbezug haben oder nicht. Darüber hinaus gilt bei Cookies, die einen Personenbezug haben, die DSGVO.

Zudem ließ der BGH für die Werbeeinwilligung eine Verlinkung auf eine Liste nicht genügen, denn diese Form der Gestaltung sei gerade zu darauf angelegt, den Nutzer dazu zu veranlassen, von einer Detailauswahl abzusehen und einfach alle Partnerunternehmen zu akzeptieren. In dieser Form jedoch sei dann die für die Einwilligung notwendige Informiertheit nicht gegeben.

4. Damit müssen sehr viele Seiten-Betreiber ihre Cookie-Banner ändern

Das Urteil wird große Auswirkungen auf die gesamte Werbewirtschaft im Internet haben, sowohl auf Webseiten-Betreiber als auch auf Anbieter von Tracking-Diensten. Kaum ein Nutzer wird freiwillig in das Sammeln von Daten zu seinem Surfverhalten zustimmen, wenn er die freie Wahl hat. Personalisierte Werbung im Netz zu platzieren, wird damit sehr viel schwieriger. Professionelle Rechtsberatung ist jedenfalls empfehlenswert.

Link zum Artikel auf WBS Law

Datenschutzrechtliche Schranken von Videoaufnahmen

Kamera

Sind Drohnen und Dashcams oder die Überwachung der eigenen Liegenschaft durch Kameras datenschutzrechtlich überhaupt zulässig? Welche Strafbestimmungen sieht das DSG und die DSGVO für etwaige Verletzungen vor? Mit diesen und weiteren Fragen beschäftigt sich der ausführliche Fachartikel von Dr. Christian Zeilinger und Mag. Andrea Wünscher, in welchem auch ausgewählte Entscheidungen erörtert werden.

Den gesamten Artikel der September-Ausgabe des Österreichischen Anwaltsblatts können Sie HIER nachlesen.

Bescheid der Datenschutzbehörde nach einem amtswegigen Prüfverfahren – Teil 3: Informationspflicht

06.09.2019 | Autorin: Mag. Andrea Wünscher – Juristische Mitarbeiterin   Andrea_Wuenscher

In dieser Reihe zeigen wir Ihnen anhand eines tatsächlich ausgestellten Bescheides auf, wie Sie datenschutzrechtliche Vorgaben in Ihrem eigenen Unternehmen oder Verein umsetzen können, um bei einer behördlichen Überprüfung zu bestehen.

Dieser Teil beschäftigt sich mit den Informationspflichten, die durch die DSGVO erheblich erweitert wurden. Lassen Sie sich hierbei – neben einem spezialisierten Rechtsanwalt – auch von Ihrem Webdesigner beraten, denn dieser weiß am besten über die technische Umsetzung Ihrer Website Bescheid und kann auch über benötigte Informationen Auskunft geben.

zu Punkt 3. a) des Bescheids:

Die datenschutzrechtlichen Vorgaben nur intern zu erfüllen reicht nicht aus – Sie müssen die betroffenen Personen auch umfangreich über ihre Rechte informieren – bereits im Zeitpunkt der Datenerhebung. Dies kann zB über die Datenschutzerklärung Ihrer Website erfolgen und muss individuell auf Ihr Unternehmen oder Ihren Verein abgestimmt werden.

Es muss in der Datenschutzerklärung deutlich angeführt werden, ob die Informationen gemäß Art. 13 oder Art. 14 der DSGVO erteilt werden. Nach Art. 13 DSGVO ist eine Information erforderlich, wenn die Datenerhebung bei der betroffenen Person selbst durchgeführt wird, wohingegen nach Art. 14 DSGVO immer dann informiert werden muss, wenn die Daten nicht bei der betroffenen Person selbst erhoben werden. Art. 13 DSGVO verlangt die Erteilung folgender Informationen:

Bescheid der Datenschutzbehörde nach einem amtswegigen Prüfverfahren – Teil 3: Informationspflicht weiterlesen